旨在感染 USB 驱动器的中国恶意软件也意外感染了网络存储 • The Register

据供应商 Infosec Checkpoint 称，旨在在 USB 驱动器上传播的恶意软件会无意中感染网络连接存储设备。

该不良软件来自 Checkpoint 研究人员周四创建的一个名为 Camaro Dragon 的组织 提议 对中国野马熊猫和夜光蛾发起类似暴民的活动。

Checkpoint 认为 Camaro Dragon 对亚洲目标最感兴趣——其代码包含旨在隐藏这些目标的功能，以躲避该地区流行的防病毒解决方案 SmadAV。

然而，该公司首次发现该团伙在欧洲的活动！

检查点研究人员写道：“零号病人恶意软件感染被确定为一名参加亚洲会议的员工。” 他用自己的U盘与其他与会者分享了他的演讲，不幸的是，他的一位同学的电脑被感染了，所以他的U盘也因此被感染。

“回到欧洲医院后，该员工将受感染的 USB 驱动器插入医院的计算机系统，从而传播了感染。”

检查点认为，当受害者在受感染的 USB 闪存驱动器上启动恶意 Delphi 启动器时，感染链就开始了。 这样做会触发后门，当其他驱动器连接到受感染的计算机时，该后门会将恶意软件加载到其他驱动器上。

这很糟糕，但也可以通过使用各种限制 USB 设备的技术来遏制它。

恶意软件给企业 IT 带来了更大的风险，因为受感染的设备会在任何新连接的网络驱动器上安装恶意软件，但不会在感染时已连接到设备的驱动器上安装恶意软件。

检查点认为传播到新连接的网络驱动器是无意的。

研究人员写道：“虽然以这种方式感染的网络驱动器理论上可以用作同一网络内横向移动的手段，但这种行为看起来更像是一个缺陷，而不是一个预期的功能。” “操纵许多文件并将其替换为网络驱动器上带有 USB 闪存驱动器图标的可执行文件是一项明显的活动，可能会引起额外的不利关注。”

我们都知道，网络犯罪团伙试图尽可能长时间地保持低调，以便他们的邪恶代码能够进行邪恶的工作。

如果此代码运行，它会安装后门并尝试取出数据。 这使得看似意外的网络存储感染变得相当危险——在许多存储好东西的机构中。

该恶意软件的另一个令人讨厌的功能是，它“还侧载带有安全软件组件的 DLL，例如 G-DATA Total Security 和两家主要游戏公司（Electronic Arts 和 Riot Games）”。 Checkpoint 已告知游戏开发商他们在 Camaro Dragon 计划中无意中扮演的角色。

Checkpoint 写道，它已经在缅甸、韩国、英国、印度和俄罗斯看到了 USB 所带有的符号。

该公司建议：“使用自我传播 USB 恶意软件进行攻击的普遍性和性质表明，需要防范这些攻击，即使对于可能不是此类活动直接目标的组织也是如此。” ®